"Wenn Safaris' Option 'Sichere Dateien nach dem Download öffnen' aktiviert ist, öffnet sich das Apples Installer und die Nutzer sehen ein normales Installationsfenster", so der Intego-Blogeintrag.
Besonders tückisch: keine Passwort-Abfrage.
Der Sicherheitsanbieter Intego warnt vor einer neuen Version der Scareware "Mac Defender", der im Gegensatz zum Vorgänger während der Installation keine Admin-Passwörter abfragt. Am Dienstag hatte Apple nach Wochen des Schweigens ein Update veröffentlicht, das Nutzern bei der Identifizierung des Schädlings helfen sollte - der WebStandard berichtete.
Tarnung und Installation
In einem Blogeintrag schreibt Intego, dass die MacGuard-Oberfläche als native Mac OS X Anwendung getarnt ist. Besonders problematisch sei allerdings die Tatsache, dass kein Passwort erforderlich ist. "Wenn Safaris' Option 'Sichere Dateien nach dem Download öffnen' aktiviert ist, öffnet sich das Apples Installer und die Nutzer sehen ein normales Installationsfenster. Wenn nicht, bemerken sie eventuell das heruntergeladene ZIP-Archiv und klicken es neugierig an, ohne sich daran zu erinnern, was sie heruntergeladen haben. Mit dem Doppelklick wird in beiden Fällen der Mac OS X Installer gestartet", heißt es weiter im Intego-Blog.
avRunner
Danach werde die Anwendung avRunner installiert und gestartet, die den MacGuard-Schädling nachlädt. Um unentdeckt zu bleiben, löscht sich das Installationspaket anschließend selbst. Die IP-Adresse ist, indem eine einfache Form von Steganographie nutzt, in einer Bilddatei von avRunner versteckt.
Update folgt
Intego rät Mac-Nutzern, die Option "Sichere Dateien nach dem Download öffnen" zu deaktieren. Apple hat für die kommenden Tage ein Sicherheitsupdate für Mac OS X angekündigt, das alle bekannten Versionen von Mac Defender identifiziert, löscht und eine Warnung vor dem Download abschickt. (ez, derStandard.at, 26. Mai 2011)